Реализация нормы закона о персональных данных в Российской Федерации

Специалисты компании BearingPoint рассмотрели различные сценарии реализации нормы ФЗ № 152 от 27.07.2006 «О персональных данных» в части выполнения требований к обеспечению хранения баз данных, содержащих персональные данные граждан Российской Федерации, на ее территории. При подготовке сценариев были изучены решения, реализуемые клиентами компании, а также рекомендации, подготовленные для своих членов Ассоциацией Европейского Бизнеса и Российско-Германской Внешнеторговой палатой. Данные требования должны вступить в силу 01.09.2015 и будут распространяться на всех операторов персональных данных.

Отличительной особенностью этого законопроекта является то, что при его реализации все участники рынка рекомендуют ориентироваться в первую очередь на позицию собственного корпоративного юриста и/или правоприменительную практику. Обусловлено это отсутствием четкости в формулировках законодателя относительно самих данных (что считать персональными данными), а также отсутствием четкой позиции в отношении нарушений.

Многие компании, которые задались вопросом о реализации данной нормы закона, начали с инвентаризации своих информационных систем и определения возможного перечня видов информации, которые могут содержать персональные данные в этих системах. Всех участников рынка, столкнувшихся с этим вопросом, можно условно разделить на три категории:

1. «Записные книжки» — компании, у которых количество записей в базах данных, относящихся          к персональным данным, может варьироваться от одной до нескольких сотен. Как правило, это данные индивидуальных предпринимателей — дистрибуторов и субподрядчиков, а также частных лиц-контрагентов.
2. «Книжные полки» — компании, имеющие от нескольких сотен до нескольких тысяч записей. Типичный пример — фармацевтические компании, ведущие записи о деятельности медицинских представителей. Также к этой группе относятся филиалы мультинациональных компаний, чья функция HR реализована на иностранном серверном пространстве.
3. «Библиотеки» — компании, вовлеченные в оборот больших массивов клиентских данных в связи со спецификой своей деятельности. Это социальные сети, поисковые сервисы, интернет-магазины, ИТ-разработчики и т.п. Иными словами, это те операторы, чья работа предполагает обработку большого массива персональных данных.

Многие компании-«библиотеки» уже подтвердили свои намерения о переводе серверов с персональными данными в Российскую Федерацию, и по мере приближения сентября все больше представителей этого сегмента будут анонсировать подобные намерения.

Компании, количество записей которых варьируется от одной до нескольких тысяч («записные книжки» и «книжные полки», а это самая многочисленная группа компаний), находятся в ситуации с наибольшим уровнем неопределенности. Именно эти компании скорее всего окажутся в ситуации, когда их основные базы данных (системы классов ERP, CRM и другие) находятся на серверах за пределами Российской Федерации, и их перенос и хранение на ее территории будет в конфликте с существующей глобальной ИТ-политикой. Вопросы времени и бюджета на перенос этих данных также остаются открытыми.

Среди множества решений, которые упомянутые группы компаний активно обсуждают, можно выделить три основных сценария, направленных на выполнение требований законодателя.

• Первый сценарий предполагает полный перенос всех баз данных (включая персональные данные граждан) на серверные мощности в Российской Федерации. Это первое, но не самое бюджетное решение, которое приходит в голову, и оно может потребовать от компании пересмотра ИТ-политики на глобальном уровне. Реализация решения может занять куда больше времени, чем остается до упомянутой даты. В то же время в разъяснениях Роскомнадзора можно встретить комментарии о том, что тотальный перенос серверов компаний в Российскую Федерацию не является целью данной нормы.
• Второй сценарий является частным случаем первого и представляет собой частичный перенос баз данных, содержащих только записи персональных данных граждан Российской Федерации. Реализуемость этого сценария для конкретной компании сильно зависит как от количества записей с персональными данными, так и от специфики бизнеса компании. Данное решение более применимо к компаниям типа «Книжные полки».
• Третий сценарий — это целенаправленный сбор и систематизация всех записей, содержащих персональные данные граждан Российской Федерации, которые были идентифицированы в рамках предварительной инвентаризации. Сбор данных производится из всех имеющихся корпоративных систем с целью их последующего переноса в единую базу, расположенную на серверах на территории Российской Федерации. Следующий этап этого сценария — номинация базы персональных данных как основной (первостепенной — master database) с последующим предоставлением доступа к необходимой информации корпоративным приложениям.

В этом сценарии требования законодателя в полной мере выполняются, т.к. никаких ограничений на передачу персональных данных через границу в иные базы данных, в том числе и за рубеж, настоящим законом не вводится. При этом обеспечивается основное требование: сбор и хранение персональных данных на территории Российской Федерации.

В качестве четвертой альтернативы можно рассмотреть деперсонализацию персональных данных, хранимых на серверах за пределами Российской Федерации.  В данном сценарии информация хранится в обезличенном виде и не может быть достоверно отнесена к какому-либо конкретному лицу. Доступ к информации осуществляется через дополнительное программное обеспечение. Данные обезличены и не могут считаться персональными.

Следует отметить, что полный список решений далеко не ограничивается описанными сценариями. Существуют и весьма нетривиальные сценарии — вплоть до отказа от какого-либо бизнес-процесса из-за невозможности выполнить требования законодателя.

В то же время большинство компаний стараются опираться на те решения, которые уже опробованы на рынке, и эти решения предполагают отвлечение меньшего количества ресурсов при их реализации.

Каждый клиент уникален, поэтому специалисты компании BearingPoint готовы предложить наиболее оптимальный сценарий реализации закона о персональных данных, учитывая специфику бизнеса, требования и реальные возможности каждого клиента.